SpringBoot集成Spring-Security(5.7.3)学习笔记

Spring-Security(5.7.3)学习笔记


文章目录

  • Spring-Security(5.7.3)学习笔记
    • 一. 简介
    • 二. 入门案例
      • 1. 创建SpringBoot工程
      • 2. 引入依赖
      • 3. 测试
    • 三. 基本原理
    • 四. 两个接口
      • 1. UserDetailsService
      • 2. PasswordEncoder
    • 五. 登录认证
        • 1. 设置登录的用户名和密码
        • 2. 登录认证demo演示(5.7.3)
          • 1. 定义User实体类
          • 2. 创建UserService实现类
          • 3. 创建SecurityConfig配置类
          • 4. 创建UserController测试类
    • 六. 避坑指南
        • 1. Bad credentials
        • 2. User account is locked
        • 3. User account has expired
        • 4. User credentials have expired
        • 5. User is disabled


一. 简介

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。 它是保护基于 Spring 的应用程序的官方标准。毕竟是全家桶套餐中的一员。 Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。 像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。轻松扩展的背后是技术的学习陡峭程度,所以想要好好学习透,还是要下点功夫。

二. 入门案例

1. 创建SpringBoot工程

略。。。。。

2. 引入依赖

引入相关依赖

 <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-securityartifactId>
        dependency>
        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-webartifactId>
        dependency>

        <dependency>
            <groupId>org.springframework.bootgroupId>
            <artifactId>spring-boot-starter-testartifactId>
            <scope>testscope>
        dependency>
        <dependency>
            <groupId>org.springframework.securitygroupId>
            <artifactId>spring-security-testartifactId>
            <scope>testscope>
 dependency>

引入依赖启动项目后,我们会发现控制台多了一行数据,这是spring-security给我们返回的默认密码。

Using generated security password: ec73416f-5de8-4cf8-b00f-2c01cc458c98

3. 测试

编写测试类


@RestController
@RequestMapping("/user")
public class UserController {

    @GetMapping("hello")
    public String hello(){
        System.out.println("hello");
        return "hello spring-security";
    }
}

浏览器访问这个接口会发现它跳转到了一个默认的登陆页面

SpringBoot集成Spring-Security(5.7.3)学习笔记_第1张图片

登录页面的用户名默认为user,密码从控制台获取。登录成功后能看到我们接口访问的结过了
SpringBoot集成Spring-Security(5.7.3)学习笔记_第2张图片

三. 基本原理

Spring Security功能的实现主要是由一系列过滤器链相互配合完成。
SpringBoot集成Spring-Security(5.7.3)学习笔记_第3张图片

主要过滤器介绍:

  • SecurityContextPersistenceFilter

这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截
器),会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给
SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的
SecurityContext 再保存到配置好的 SecurityContextRepository,同时清除
securityContextHolder 所持有的 SecurityContext。

  • FilterSecurityInterceptor

是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问,是一个方法的权限过滤器,基本位于过滤连底部;

  • UsernamePasswordAuthenticationFilter

用于处理来自表单提交的认证。该表单必须提供对应的用户名和密码,其内部还有登录成功或失败后进行处理的。
AuthenticationSuccessHandler 和AuthenticationFailureHandler,这些都可以根据需求做相关改变;

  • ExceptionTranslationFilter

能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常: AuthenticationException和 AccessDeniedException,其它的异常它会继续抛出。

四. 两个接口

1. UserDetailsService

当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。
所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。

接口定义:

package org.springframework.security.core.userdetails;

public interface UserDetailsService {
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

UserDetails

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}   

2. PasswordEncoder

PasswordEncoder是一个密码解析器

五. 登录认证

1. 设置登录的用户名和密码

  1. 通过配置文件
spring:
  security:
    user:
      name: admin
      password: admin
  1. 通过配置类

代码中的WebSecurityConfigurerAdapter 自在 Spring Security 5.7.0-M2后已弃用

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        BCryptPasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("agf").password(password).roles("admin");

    }
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

2. 登录认证demo演示(5.7.3)

实现思路:

  • 自定义一个实体类User用来保存User用户信息以及权限信息;
  • 让这个User实体类实现Userdetails接口;
  • 自定义UserService类实现UserDetailsService接口,重写loadUserByUsername()方法,改方法中实现用户信息查询及该用户的权限信息查询,返回值为User对象。
  • 编写配置类

具体实现过程如下:

1. 定义User实体类

注意:这里的实体类是修改后的,里面的一些细节已经备注说明

package com.example.springsecurity.entry;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

/**
 * @author gf
 * @date 2022/10/25
 */

public class User implements UserDetails {



    private  String id;

    private String password;

    private String username;

    private String authorities;

    public User(String password, String username, String authorities) {
        this.password = password;
        this.username = username;
        this.authorities = authorities;
    }

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setAuthorities(String authorities) {
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    /**
     * 返回值为User中的 password
     * */
    @Override
    public String getPassword() {
        return password;
    }
    /**
     * 返回值为User中的 username
     * */
    @Override
    public String getUsername() {
        return username;
    }

    /**
     * 是否账号过期
     * */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    /**
     * 是否账号被锁定
     * */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    /**
     * 是否凭证(密码)过期
     * */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 是否可用
     * */
    @Override
    public boolean isEnabled() {
        return true;
    }
}

2. 创建UserService实现类

自定义UserService类实现UserDetailsService接口,重写loadUserByUsername()方法,改方法中实现用户信息查询及该用户的权限信息查询,返回值为User对象

@Slf4j
@Service
public class UserService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        // TODO 去编写查询数据库的接口,将查询到的数据放入下面三个参数中,
        //为了演示方便暂时写死

        log.info("name =[{}]",username);
        User user = new User("test", "test", "test");

        return user ;
    }
}
3. 创建SecurityConfig配置类
/**
 * @author gf
 * @date 2022/10/25
 */
@Configuration
public class SecurityConfig {

    @Autowired
    private UserService userService;


    @Bean
    public UserDetailsService userDetailsService() {
        return userService;
    }

    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService());
        provider.setPasswordEncoder(passwordEncoder());

        return provider;
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
}
4. 创建UserController测试类
@RestController
@RequestMapping("/user")
public class UserController {
    @GetMapping("hello")
    public String hello(){
        return "hello spring-security";
    }
}

启动工程,浏览器输入接口地址 http://localhost:8080/user/hello 进行测试
SpringBoot集成Spring-Security(5.7.3)学习笔记_第4张图片
输入我们UserService中设置的用户名和密码,登陆成功后就跳转到了我们真正的接口地址
SpringBoot集成Spring-Security(5.7.3)学习笔记_第5张图片

本次只是讲了一个简单的登录流程Demo,我们可以再配置类加入其他规则权限配置,是我们的登录更加完善。

六. 避坑指南

1. Bad credentials

SpringBoot集成Spring-Security(5.7.3)学习笔记_第6张图片

问题原因:用户名或密码错误,如果密码和用户名都正确看下面的解决办法。

解决办法: User实现UserDetails后。默认重写了他的getPassword()和getUsername()方法,这里面默认返回null,我们将User中的属性反回就可以了。

   @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

2. User account is locked

SpringBoot集成Spring-Security(5.7.3)学习笔记_第7张图片

解决办法:User中重写的isAccountNonLocked()默认为false,改为true就可以了。

    /**
     * 是否账号被锁定
     * */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

3. User account has expired

SpringBoot集成Spring-Security(5.7.3)学习笔记_第8张图片

解决办法:User中重写的isAccountNonExpired()默认为false,改为true就可以了。

    /**
     * 是否账号过期
     * */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

4. User credentials have expired

SpringBoot集成Spring-Security(5.7.3)学习笔记_第9张图片

解决办法:User中重写的isCredentialsNonExpired()默认为false,改为true就可以了。

    /**
     * 是否凭证(密码)过期
     * */
    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

5. User is disabled

SpringBoot集成Spring-Security(5.7.3)学习笔记_第10张图片

解决办法:User中重写的isEnabled()默认为false,改为true就可以了。

    /**
     * 是否可用
     * */
    @Override
    public boolean isEnabled() {
        return false;
    }

完结。

你可能感兴趣的:(SpringBoot,spring,spring,boot,学习)